プライバシーマークの委託先監督とは、個人データの取扱いを委託する際、適切な選定や契約締結を行うことです。JIS Q 15001に基づき、実務上は連絡先情報のやり取りだけでも監督対象となる場合があります。審査での指摘事例を基に、委託先管理の基準と必要な対応を詳しく解説します。
プライバシーマーク全般
このサイトは、ISM Web store の公式サポートブログです。
プライバシーマークに関する体制構築から運用に関する質問と回答です。
ISMSとPマークにおけるGitHub等ソーシャルネットワークの委託先管理を解説。ISMSでは個人情報の有無に関わらず委託先認証が必要ですが、Pマークは個人情報の取扱がなければ不要です。資産管理や規約確認の重要性を踏まえ、外部サービス利用時の適切な管理手順とリスク対策を回答します。
個人情報保護法ではCookie未取得、または個人データと紐付けない運用であれば「取得していない旨」を告知する法的義務はありません。個人関連情報を第三者提供し、提供先が個人データ化する場合のみ同意確認義務が生じます。実態に合わせたポリシー運用が重要です。
個人情報保護管理者とトップマネジメントの兼任は、小規模事業者に限り可能です。ただし、個人情報保護監査責任者との兼任は独立性の観点から認められません。JIS Q 15001に基づく役割の定義と選任時の3つの注意点を解説します。体制構築のルールを正しく理解しましょう。
不動産・商業登記簿謄本は個人情報に該当します。官報や電話帳等の公開情報であっても、JIS Q 15001や経産省のガイドラインでは個人情報と定義されています。取得時の利用目的の通知や公表の要否など、実務上の注意点を分かりやすく解説します。
Pマークの内部監査は、客先常駐等で社員不在の事務所でも省略できません。従業員情報は重要な個人情報であり、全拠点が監査対象となるためです。管理状況の確認や自己点検表の活用など、実務に即した効率的な監査方法と、不適合を避けるための必須ポイントを詳しく解説します。
事業代表者(社長)は個人情報保護監査責任者を兼任できません。Pマーク制度では監査の客観性を保つため、代表者や管理責任者による監査責任者の兼務を禁止しています。兼任不可の理由や外部取締役の活用、小規模事業者が監査体制を構築する際の注意点を専門家が詳しく解説します。
書類に記載された個人名は「個人情報」に該当します。契約書の署名や代表取締役の氏名も、特定の個人を識別できる情報である以上、原則として個人情報として扱われます。個人情報保護法に基づく定義や適切な管理方法を解説。
Pマーク新規申請では内部監査の実施が必須です。社内に適任者がいない場合、外部専門家への委託が可能ですが、委託先の選定・評価や契約締結、教育実績の記録が求められます。監査実務は外注できても、監査責任者は社内から選任し、適切に管理・コントロールする体制を整えることが審査通過の鍵となります。
プライバシーマーク申請後の事務所移転では、審査機関への「変更報告書」提出が必須です。新事務所のフロア図作成や、環境変化に伴うリスクアセスメントの再実施、運用ルールの教育など、最新のPMS状況を反映させる必要があります。現地審査への影響を最小限に抑えるため、速やかに審査機関へ相談しましょう。
